2020/02/101 Fiddler에서 Decrypted HTTPS 패킷에서 크리덴셜이 보이면 위험한 것일까? 1. 국내 유명 주요 보안 업체인 Axxxxx의 정상 로그인 테스트 TLS암호화 여부와 상관없이 개발자모드에서 Network Traffic을 확인해 본다. 캡처 부분 중 “SECRET_PASSWORD” 부분이 입력한 비밀번호임. 2. Progress Telerik Fiddler 으로 HTTPS Decode옵션을 켜놓고 로그인 시도시 (Fidder의 인증서는 PC에 등록하지 않음) 3. 무시하고 강제 로그인시 fiddler에서 캡처 해당 연결은 TLS을 이용한 HTTPS연결을 사용하고 있다. TLS연결의 경우 비대칭 키 암호화 방식을 기반으로 한다. TLS연결의 방식을 대강 설명하자면, 서버가 가지고 있는 인증서의 Public Key을 클라이언트(브라우저)에게 보내어 클라이언트가 랜덤으로 생성한 세션 키를.. 2020. 2. 10. 이전 1 다음 반응형
